Настройка многопользовательской авторизации с помощью Resource Guard в Azure Backup

В этой статье описывается настройка многопользовательской авторизации (MUA) для Azure Backup для повышения безопасности критически важных операций в хранилищах служб восстановления. Он охватывает создание Resource Guard в отдельном клиенте для максимальной защиты и демонстрирует, как запрашивать и утверждать критически важный доступ к операции с помощью Microsoft Entra Privileged Identity Management в клиенте, на котором размещен Resource Guard. Кроме того, вы можете использовать альтернативные методы для управления правами доступа JIT в зависимости от конфигурации вашей организации.

Замечание

• Авторизация нескольких пользователей для Azure Backup доступна во всех общедоступных регионах Azure.
• Авторизация с несколькими пользователями с помощью Resource Guard для хранилища резервных копий теперь общедоступна. Подробнее.

Предпосылки

Перед настройкой многопользовательской авторизации для хранилища служб восстановления убедитесь, что выполнены следующие предварительные требования:

• Resource Guard и хранилище служб восстановления должны находиться в одном регионе Azure.
• Администратор резервного копирования не должен иметь разрешения контрибьютора, администратора резервного копирования MUA или оператора резервного копирования MUA в Resource Guard. Чтобы обеспечить максимальную изоляцию, можно использовать Resource Guard в другой подписке того же каталога или другом каталоге.
• Подписки, содержащие хранилище служб восстановления, а также Resource Guard (в разных подписках или клиентах), должны быть зарегистрированы для использования поставщиков — Microsoft.RecoveryServices и Microsoft.DataProtection . Дополнительные сведения см. в статье Поставщики и типы ресурсов Azure.

Вы можете ознакомиться с различными сценариями использования MUA.

Создайте ресурс Resource Guard

Администратор безопасности создает Resource Guard. Мы рекомендуем создавать его в отдельной подписке или отдельном клиенте, чем хранилище. Однако он должен быть в том же регионе, что и хранилище. Администратор резервного копирования не должен иметь права участника, администратора MUA резервного копирования или оператора MUA резервного копирования в Resource Guard или подписке, содержащей его.

Выбор клиента

Портал Azure

Чтобы создать Resource Guard в клиенте, отличающемся от клиента хранилища, выполните следующие действия.

1. В портал Azure перейдите в каталог, в котором вы хотите создать Resource Guard.

   

2. Найдите Resource Guards в строке поиска и выберите соответствующий элемент из раскрывающегося списка.

   

   • Нажмите кнопку "Создать", чтобы начать создание Resource Guard.
   • В панели создания введите необходимые сведения для этого Resource Guard.
     • Убедитесь, что "Resource Guard" находится в тех же регионах платформы Azure, что и хранилище служб восстановления.
     • Кроме того, полезно добавить описание того, как получить или запросить доступ для выполнения действий в связанных хранилищах, когда это необходимо. Это описание также будет отображаться в связанных хранилищах, чтобы администратор резервного копирования знал, как получить нужные разрешения. При необходимости вы можете изменить описание позже, но инструкции должны быть понятны и доступны в любое время.

3. На вкладке Защищенные операции выберите операции, которые нужно защитить с помощью этого Resource Guard.

   После создания resource guard можно также выбрать операции защиты.

4. При необходимости добавьте теги для Resource Guard в соответствии с требованиями.

5. Выберите "Просмотр и создание" и следуйте уведомлениям о состоянии и успешном создании Resource Guard.

PowerShell

Чтобы создать resource guard, выполните следующий командлет:

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

Чтобы создать защиту ресурса, выполните следующую команду:

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Выбор операций для защиты с помощью Resource Guard

Выберите операции, которые вы хотите защитить, используя Resource Guard из всех поддерживаемых критически важных операций. По умолчанию включены все поддерживаемые критические операции. Однако вы (как администратор безопасности) можете исключить определенные операции из-под контроля MUA с помощью Resource Guard.

Выбор клиента

Портал Azure

Чтобы исключить операции, выполните следующие действия.

1. В вышеуказанном ресурсном охраннике перейдите на вкладку Свойства>хранилище служб восстановления.

2. Выберите "Отключить " для операций, которые требуется исключить из авторизованного использования Resource Guard.

   Замечание

   Вы не можете отключить защищенные операции, такие как отключение обратимого удаления и удаление защиты MUA.

3. Кроме того, можно обновить описание Resource Guard с помощью этой области.

4. Нажмите кнопку "Сохранить".

   

PowerShell

Обновление операций. Эти операции исключены из защиты Resource Guard, выполните следующие командлеты:

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• Первая команда извлекает механизм защиты ресурсов, который необходимо обновить.
• Вторая и третья команды извлекают критически важные операции, которые требуется обновить.
• Четвертая команда исключает некоторые критически важные операции из защитника ресурсов.

CLI

Чтобы обновить операции, которые должны быть исключены из защиты с помощью средства защиты ресурсов, выполните следующие команды:

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

Пример:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Назначение разрешений администратору резервного копирования в Resource Guard для поддержки MUA

Чтобы включить MUA в хранилище, администратор хранилища должен иметь роль Читателя в Resource Guard или подписке, содержащей Resource Guard. Чтобы назначить роль читателя в Resource Guard, выполните следующие действия.

1. В созданном выше Resource Guard перейдите на вкладку Управление доступом (IAM), затем перейдите к Добавлению назначения роли.

   

2. Выберите читателя из списка встроенных ролей и нажмите кнопку "Далее".

   

3. Щелкните Выбрать членов и введите идентификатор электронной почты администратора резервного копирования, чтобы добавить его как читателя. Как администратор резервного копирования находится в другом клиенте в этом случае, они будут добавлены в качестве гостей в клиент, содержащий Resource Guard.

4. Щелкните Выбрать и откройте вкладку Просмотр и назначение, чтобы завершить назначение роли.

   

Включение MUA в хранилище служб восстановления

После завершения назначения роли читателя в Resource Guard включите многопользовательскую авторизацию в хранилищах (в качестве администратора резервного копирования), которыми вы управляете.

Выбор клиента

Портал Azure

Чтобы включить MUA в хранилищах, выполните следующие действия.

1. Перейдите к хранилищу Служб восстановления. Перейдите к свойствам на левой панели навигации, а затем выберите " Авторизация с несколькими пользователями " и нажмите кнопку "Обновить".

   

2. Теперь вы можете включить MUA и выбрать Resource Guard одним из следующих способов:

   • Вы можете указать URI ресурса Resource Guard. Убедитесь, что вы указываете URI для того Resource Guard, к которому у вас есть доступ читателя и который находится в том же регионе, что и хранилище. Код URI (идентификатор Resource Guard) можно найти на экране Обзор:

     

   • Вы также можете выбрать Resource Guard в списке защищенных ресурсов, к которым у вас есть доступ читателя и которые доступны в подходящем регионе.

     1. Щелкните Select Resource Guard (Выбрать Resource Guard).
     2. Выберите раскрывающийся список и выберите каталог, в который находится Resource Guard.
     3. Выберите проверку подлинности , чтобы проверить удостоверение и доступ.
     4. После проверки подлинности выберите Resource Guard в появившемся списке.

     

3. Нажмите Сохранить после завершения, чтобы включить MUA.

   

PowerShell

Чтобы активировать MUA в хранилище служб восстановления, выполните следующий командлет:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• Первая команда извлекает маркер доступа для клиента resource guard, где присутствует служба resource guard.
• Вторая команда создает сопоставление между RSVault $vault и Resource guard.

Замечание

Параметр токена является необязательным и требуется только для проверки подлинности операций между защищёнными арендаторами.

CLI

Чтобы включить MUA в хранилище служб восстановления, выполните следующую команду:

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

Идентификатор арендатора необходим, если ресурсная защита существует у другого арендатора.

Пример:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

Защищенные операции с помощью MUA

После включения многоуровневой аутентификации (MUA) операции в пределах хранилища будут ограничены, если администратор резервного копирования пытается выполнить их без необходимой роли (а именно роли оператора MUA резервного копирования) в системе защиты ресурсов.

Замечание

Мы настоятельно рекомендуем протестировать вашу настройку после включения MUA, чтобы убедиться, что защищенные операции блокируются должным образом, и что MUA настроена правильно.

На рисунке ниже показана иллюстрация того, что происходит, когда администратор резервного копирования пытается выполнить такую защищенную операцию (например, отключение обратимого удаления показано здесь. Другие защищенные операции имеют аналогичный интерфейс). Следующие действия выполняются администратором резервного копирования без необходимых разрешений.

1. Чтобы отключить обратимое удаление, перейдите в >, в раздел Параметры>безопасности и выберите Обновить, чтобы открыть параметры безопасности.

2. Отключите soft delete с помощью ползунка. Вы знаете, что это защищенная операция, и вам нужно проверить их доступ к Resource Guard.

3. Выберите каталог, содержащий Resource Guard, и выполните проверку подлинности самостоятельно. Этот шаг может не потребоваться, если Resource Guard находится в том же каталоге, что и хранилище.

4. Перейдите к кнопке "Сохранить". Запрос завершается ошибкой, сообщающей им о отсутствии достаточных разрешений в Resource Guard, чтобы позволить выполнять эту операцию.

   

Авторизация критически важных (защищенных) операций с помощью microsoft Entra Privileged Identity Management

В следующих разделах рассматривается авторизация этих запросов с помощью PIM. Существуют случаи, когда может потребоваться выполнить критически важные операции с резервными копиями, и MUA поможет вам убедиться, что они выполняются только в тех случаях, когда существуют правильные утверждения или разрешения. Как упоминалось ранее, администратор резервного копирования должен иметь роль оператора MUA резервного копирования в Resource Guard для выполнения критически важных операций, которые находятся в области Resource Guard. Одним из способов обеспечения режима "just-in-time" для таких операций является использование Microsoft Entra Privileged Identity Management.

Замечание

Хотя использование Microsoft Entra PIM является рекомендуемым подходом, вы можете использовать вручную или настраиваемые методы для управления доступом администратора резервного копирования в Resource Guard. Для управления доступом к Resource Guard вручную используйте параметр "Управление доступом (IAM)" в левой панели навигации Resource Guard и предоставьте роль оператора MUA резервного копирования администратору резервного копирования.

Создайте подходящее назначение администратора резервного копирования (если используется microsoft Entra Privileged Identity Management)

Администратор безопасности может использовать PIM для создания подходящего назначения администратора резервного копирования и предоставления роли оператора MUA резервного копирования в Resource Guard. Это позволяет администратору резервного копирования вызывать запрос (для роли оператора MUA резервного копирования ), когда им нужно выполнить защищенную операцию. Для этого администратор безопасности выполняет следующие действия:

1. В клиенте безопасности (который содержит Resource Guard), перейдите в раздел "Управление привилегированными пользователями" (найдите его в строке поиска на портале Azure), а затем перейдите к ресурсам Azure (в разделе "Управление " в меню слева).

2. Выберите ресурс (Resource Guard или содержащую подписку/группу ресурсов), которому вы хотите назначить роль оператора MUA резервного копирования.

   Если соответствующий ресурс не отображается в списке ресурсов, убедитесь, что вы добавили подписку, содержащуюся для управления через PIM.

3. В выбранном ресурсе перейдите к назначениям (в разделе "Управление в меню слева") и перейдите к разделу "Добавить назначения".

   

4. В разделе "Добавление назначений":

   1. Выберите роль Оператора MUA резервного копирования.
   2. Перейдите к разделу "Выбор участников" и добавьте идентификаторы имени пользователя (или идентификаторы электронной почты) администратора резервного копирования.
   3. Нажмите кнопку Далее.

   

5. На следующем экране:

   1. В разделе "Тип назначения" выберите "Допустимый".
   2. Укажите срок, в течение которого разрешение действительно.
   3. Нажмите кнопку "Назначить ", чтобы завершить создание соответствующего назначения.

   

Настройка утверждающих для активации роли резервного оператора MUA

По умолчанию указанная выше настройка может не иметь утверждающего и не требует настройки процесса утверждения в PIM. Чтобы у утверждающих была роль оператора резервного копирования MUA для утверждения запроса, администратор безопасности должен выполнить следующие действия:

Замечание

Если это не настроено, все запросы будут автоматически утверждены без проверки администратором безопасности или назначенным утверждающим. Дополнительные сведения об этом можно найти здесь

1. В Microsoft Entra PIM выберите ресурсы Azure на панели навигации слева и выберите Resource Guard.

2. Перейдите к параметрам и перейдите к роли оператора MUA резервного копирования .

   

3. Выберите Изменить, чтобы добавить утверждающих, которые должны проверить и утвердить запрос на активацию для роли Оператор MUA Резервного Копирования, если вы обнаружите, что утверждающие отсутствуют или отображаются неверные утверждающие.

4. На вкладке "Активация" выберите "Требовать утверждение для активации " и добавьте утверждающих, которые должны утвердить каждый запрос.

5. Выберите параметры безопасности, такие как многофакторная аутентификация (MFA), требование билета для активации роли оператора резервного копирования MUA.

6. Выберите соответствующие параметры на вкладках "Назначение " и " Уведомления " по мере необходимости.

   

7. Выберите «Обновить» для завершения настройки утверждающих и активации роли оператора MUA резервного копирования.

Запрос активации соответствующего назначения для выполнения критически важных операций

После того как администратор безопасности создает соответствующее назначение, администратор резервного копирования должен активировать назначение роли оператора MUA резервного копирования , чтобы иметь возможность выполнять защищенные действия.

Чтобы активировать назначение роли, выполните следующие действия.

1. Перейдите в Microsoft Entra Privileged Identity Management. Если Resource Guard находится в другом каталоге, переключитесь в этот каталог, а затем перейдите в microsoft Entra Privileged Identity Management.

2. Перейдите в "Мои роли>ресурсы Azure на левом меню.

3. Выберите «Активировать», чтобы активировать соответствующее назначение для роли резервного оператора MUA.

   Появится уведомление о том, что запрос отправляется на утверждение.

   

Утверждение активации запросов на выполнение критически важных операций

После того как администратор резервного копирования создает запрос на активацию роли оператора MUA резервного копирования , его необходимо проверить и утвердить администратором безопасности.

1. В клиенте безопасности перейдите к Microsoft Entra Privileged Identity Management.
2. Перейдите к утверждению запросов.
3. В ресурсах Azure можно увидеть запрос, отправленный администратором резервного копирования с просьбой активировать в качестве оператора MUA резервного копирования.
4. Просмотрите запрос. Если это действительно, выберите запрос и выберите " Утвердить ", чтобы утвердить его.
5. Администратор резервного копирования уведомляется по электронной почте (или другим механизмам оповещения организации), что их запрос теперь утвержден.
6. После утверждения администратор резервного копирования может выполнять защищенные операции в течение запрошенного периода.

Выполнение защищенной операции после утверждения

После утверждения запроса администратора резервного копирования на роль Оператора MUA резервного в системе Resource Guard, администратор может выполнять защищенные операции в связанном хранилище. Если Resource Guard находится в другом каталоге, администратор резервного копирования должен пройти проверку подлинности.

Замечание

Если доступ был назначен с помощью механизма JIT, роль оператора MUA резервного копирования будет отменена в конце утвержденного периода. Кроме того, администратор безопасности вручную удаляет роль оператора MUA резервного копирования , назначенную администратору резервного копирования для выполнения критической операции.

На следующем снимка экрана показан пример отключения обратимого удаления для хранилища с поддержкой MUA.

Отключение MUA в хранилище служб восстановления

Отключение MUA — это защищенная операция, поэтому, хранилища защищены с помощью MUA. Если вы (администратор резервного копирования) хотите отключить MUA, необходимо иметь необходимую роль оператора MUA резервного копирования в Resource Guard.

Выбор клиента

Портал Azure

Чтобы отключить MUA в хранилище, выполните следующие действия.

1. Администратор резервного копирования запрашивает у администратора безопасности роль оператора MUA резервного копирования в Resource Guard. Они могут запросить это, чтобы использовать методы, утвержденные организацией, такие как процедуры JIT, такие как Microsoft Entra Privileged Identity Management, или другие внутренние средства и процедуры.

2. Администратор безопасности утверждает запрос (если посчитает его достойным утверждения) и сообщает об этом администратору резервного копирования. Теперь у администратора резервного копирования есть роль оператора MUA резервного копирования в Resource Guard.

3. Администратор резервного копирования переходит к >свойствам> хранилища и авторизации с несколькими пользователями.

4. Выберите Обновить.

   1. Снимите флажок "Защита с помощью Resource Guard ".
   2. Выберите каталог, содержащий Resource Guard, и проверьте доступ с помощью кнопки "Проверка подлинности" (если применимо).
   3. После проверки подлинности нажмите кнопку "Сохранить". При правильном доступе запрос должен быть успешно завершен.

   

PowerShell

Чтобы отключить MUA в хранилище служб восстановления, используйте следующий командлет:

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• Первая команда извлекает токен доступа для арендатора, в котором находится элемент защиты ресурсов.
• Вторая команда удаляет сопоставление между хранилищем службы восстановления и охранителем ресурсов.

Замечание

Параметр токена является необязательным и необходим только для проверки подлинности операций, защищенных между клиентами.

CLI

Чтобы отключить MUA в хранилище служб восстановления, выполните следующую команду:

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

Идентификатор арендатора необходим, если ресурсная защита существует у другого арендатора.

Пример:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

В этой статье описывается настройка многопользовательской авторизации (MUA) для Azure Backup для повышения безопасности критически важных операций в хранилищах резервных копий. Он охватывает создание Resource Guard в отдельном клиенте для максимальной защиты и демонстрирует, как запрашивать и утверждать критически важный доступ к операции с помощью Microsoft Entra Privileged Identity Management в клиенте, на котором размещен Resource Guard. Кроме того, вы можете использовать альтернативные методы для управления правами доступа JIT в зависимости от конфигурации вашей организации.

Замечание

• Авторизация с несколькими пользователями с помощью Resource Guard для хранилища резервных копий теперь общедоступна.
• Авторизация нескольких пользователей для Azure Backup доступна во всех общедоступных регионах Azure.

Предпосылки

Прежде чем настроить авторизацию с несколькими пользователями для хранилища резервных копий, убедитесь, что выполнены следующие предварительные требования:

• Resource Guard и хранилище резервных копий должны находиться в одном регионе Azure.
• Администратор резервного копирования не должен иметь разрешения контрибьютора, администратора резервного копирования MUA или оператора резервного копирования MUA в Resource Guard. Чтобы обеспечить максимальную изоляцию, можно использовать Resource Guard в другой подписке того же каталога или другом каталоге.
• Подписки, которые содержат хранилище резервных копий, а также Resource Guard (в разных подписках или арендаторах), должны быть зарегистрированы, чтобы использовать поставщика — Microsoft.DataProtection4. Дополнительные сведения см. в статье Поставщики и типы ресурсов Azure.

Вы можете ознакомиться с различными сценариями использования MUA.

Создайте ресурс Resource Guard

Администратор безопасности создает Resource Guard. Мы рекомендуем создавать его в отдельной подписке или отдельном клиенте, чем хранилище. Однако он должен быть в том же регионе, что и хранилище.

Администратор резервного копирования не должен иметь доступ участника, администратора резервного копирования MUA или оператора резервного копирования MUA в Resource Guard или в подписке, содержащей его.

Чтобы создать Resource Guard в клиенте, отличном от клиента хранилища в качестве администратора безопасности, выполните следующие действия.

1. В портал Azure перейдите в каталог, в котором вы хотите создать Resource Guard.

   

2. Найдите resource Guards в строке поиска и выберите соответствующий элемент из раскрывающегося списка.

   

   1. Выберите "Создать", чтобы создать Resource Guard.
   2. В области "Создание" введите необходимые сведения для этого Resource Guard.
      • Убедитесь, что Resource Guard находится в том же регионе Azure, что и хранилище резервных копий.
      • Добавьте описание того, как запросить доступ для выполнения действий в связанных хранилищах при необходимости. Это описание отображается в связанных хранилищах, чтобы управлять администратором резервного копирования о том, как получить необходимые разрешения.

3. На вкладке "Защищенные операции " выберите операции, необходимые для защиты с помощью этой защиты ресурсов на вкладке хранилища резервных копий.

   В настоящее время вкладка "Защищенные операции " включает только параметр "Удалить экземпляр резервного копирования" для отключения.

   После создания resource guard можно также выбрать операции защиты.

   

4. При необходимости добавьте все теги в Resource Guard в соответствии с требованиями.

5. Выберите "Проверить и создать ", а затем следуйте уведомлениям, чтобы отслеживать состояние и успешное создание Resource Guard.

Выбор операций для защиты с помощью Resource Guard

После создания хранилища администратор безопасности также может выбрать операции защиты с помощью Resource Guard среди всех поддерживаемых критически важных операций. По умолчанию включены все поддерживаемые критические операции. Однако администратор безопасности может исключить определенные операции из-под purview MUA с помощью Resource Guard.

Чтобы выбрать операции защиты, выполните следующие действия.

1. В созданном вами Resource Guard перейдите на вкладку Свойства>хранилище резервных копий.

2. Выберите "Отключить " для операций, которые требуется исключить из авторизованного режима.

   Вы не можете отключить операции удаления защиты MUA и мягкого удаления.

3. При необходимости обновите описание Ресурсного стража на вкладке хранилища резервных копий.

4. Нажмите кнопку "Сохранить".

   

Назначение разрешений администратору резервного копирования в Resource Guard для поддержки MUA

Администратор резервного копирования должен иметь роль Читатель в Resource Guard или подписке, содержащей Resource Guard, чтобы включить MUA в хранилище. Администратор безопасности должен назначить эту роль администратору резервного копирования.

Чтобы назначить роль читателя в Resource Guard, выполните следующие действия.

1. В созданном выше Resource Guard перейдите на вкладку Управление доступом (IAM), затем перейдите к Добавлению назначения роли.

   

2. Выберите читателя из списка встроенных ролей и нажмите кнопку "Далее".

   

3. Щелкните "Выбрать участников" и добавьте идентификатор электронной почты администратора резервного копирования, чтобы назначить роль читателя .

   Поскольку администраторы бэкапа находятся в другом клиенте, они будут добавлены в качестве гостей в клиент, содержащий Resource Guard.

4. Нажмите Выбрать>проверка + назначить, чтобы завершить назначение роли.

   

Включение MUA в хранилище резервных копий

После того как администратор резервного копирования имеет роль читателя в Resource Guard, он может включить многопользовательскую авторизацию в хранилищах, управляемых следующими инструкциями:

1. Перейдите в хранилище резервных копий, для которого требуется настроить MUA.

2. На левой панели выберите "Свойства".

3. Перейдите к многопользовательской авторизации и выберите "Обновить".

   

4. Чтобы включить muA и выбрать Resource Guard, выполните одно из следующих действий:

   • Можно указать унифицированный идентификатор ресурса (URI) для Resource Guard. Убедитесь, что укажите URI ресурса Resource Guard, к которому у вас есть доступ читателя , и он находится в том же регионе, что и хранилище. URI (идентификатор Resource Guard) ресурса Resource Guard можно найти на странице обзора .

     

   • Вы также можете выбрать Resource Guard в списке защищенных ресурсов, к которым у вас есть доступ читателя и которые доступны в подходящем регионе.

     1. Нажмите Выбрать Resource Guard.
     2. Выберите раскрывающийся список и выберите каталог, в который находится Resource Guard.
     3. Выберите проверку подлинности , чтобы проверить удостоверение и доступ.
     4. После проверки подлинности выберите Resource Guard в появившемся списке.

     

5. Нажмите кнопку "Сохранить", чтобы включить MUA.

   

Защищенные операции с помощью MUA

Когда администратор резервного копирования включает MUA, операции, охваченные областью, будут ограничены в хранилище, и операции не будут выполнены, если администратор резервного копирования пытается выполнить их без роли оператора MUA резервного копирования в Ресурс Гард.

Замечание

Мы настоятельно рекомендуем протестировать настройку после включения MUA, чтобы убедиться в том, что:

• Защищенные операции блокируются должным образом.
• MuA настроена правильно.

Чтобы выполнить защищенную операцию (отключение MUA), выполните следующие действия:

1. Перейдите к > хранилища в левой области.

2. Снимите флажок, чтобы отключить MUA.

   Вы получите уведомление о том, что это защищенная операция, и вам потребуется доступ к Resource Guard.

3. Выберите каталог, содержащий Resource Guard, и выполните проверку подлинности самостоятельно.

   Этот шаг может не потребоваться, если Resource Guard находится в том же каталоге, что и хранилище.

4. Нажмите кнопку "Сохранить".

   Запрос завершается ошибкой: у вас нет достаточных разрешений на Resource Guard для выполнения этой операции.

   

Авторизация критически важных (защищенных) операций с помощью microsoft Entra Privileged Identity Management

Существуют сценарии, в которых может потребоваться выполнение критически важных операций с резервными копиями. Эти операции можно выполнить при наличии соответствующих утверждений или разрешений с помощью MUA. В следующих разделах объясняется, как авторизовать критически важные запросы операций с помощью управления привилегированными пользователями (PIM).

Администратор резервного копирования должен иметь роль оператора MUA резервного копирования в Resource Guard для выполнения критически важных операций в пределах Resource Guard. Одним из способов разрешения JIT-операций является использование Microsoft Entra Privileged Identity Management.

Замечание

Рекомендуется использовать Microsoft Entra PIM. Однако вы также можете использовать вручную или настраиваемые методы для управления доступом администратора резервного копирования в Resource Guard. Чтобы вручную управлять доступом к Resource Guard, используйте параметр управления доступом (IAM) в левой области Resource Guard и предоставьте роль оператора MUA резервного копирования администратору резервного копирования.

Создание подходящего назначения для администратора резервного копирования с помощью Microsoft Entra Privileged Identity Management

Администратор безопасности может использовать PIM для создания подходящего назначения администратора резервного копирования в качестве оператора MUA резервного копирования в Resource Guard. Это позволяет администратору резервного копирования вызывать запрос (для роли оператора MUA резервного копирования ), когда им нужно выполнить защищенную операцию.

Чтобы создать соответствующее назначение, выполните действия.

1. Войдите на портал Azure.

2. Перейдите в клиент безопасности Resource Guard и в поиске введите Privileged Identity Management.

3. В области слева выберите "Управление" и перейдите к ресурсам Azure.

4. Выберите ресурс (Resource Guard или содержащую подписку/группу ресурсов), которому вы хотите назначить роль оператора MUA резервного копирования.

   Если вы не найдете соответствующие ресурсы, добавьте содержащую подписку, управляемую PIM.

5. Выберите ресурс и перейдите к Управление>назначениями>Добавить назначения.

   

6. В разделе "Добавление назначений":

   1. Выберите роль Оператора MUA резервного копирования.
   2. Перейдите к разделу "Выбор участников" и добавьте идентификаторы имени пользователя (или идентификаторы электронной почты) администратора резервного копирования.
   3. Нажмите кнопку Далее.

   Снимок экрана, показывающий, как добавить назначение для защиты хранилища резервных копий.

7. В разделе "Назначение" выберите "Правомочный" и укажите срок действия правомочного разрешения.

8. Выберите "Назначить ", чтобы завершить создание соответствующего назначения.

   

Настройка утверждающих для активации роли участника

По умолчанию указанная выше настройка может не иметь утверждающего и не требует настройки процесса утверждения в PIM. Чтобы утверждающие имели роль участника для утверждения запроса, администратор безопасности должен выполнить следующие действия:

Замечание

Если не настроена конфигурация утверждающего, такие запросы автоматически утверждаются без проверки администраторами безопасности или назначенным утверждающим. Подробнее.

1. В Microsoft Entra PIM выберите ресурсы Azure на левой панели и выберите Resource Guard.

2. Перейдите в Параметры на >роль участника.

   

3. Выберите Изменить, чтобы добавить рецензентов, которые должны проверить и утвердить запрос на активацию роли участника, если вы обнаружите, что утверждающие отсутствуют или отображаются неверно.

4. На вкладке "Активация" выберите "Требовать утверждение", чтобы добавить утверждающих, которые должны утвердить каждый запрос.

5. Выберите параметры безопасности, такие как многофакторная проверка подлинности (MFA), запрос на назначение для активации роли участника .

6. Выберите соответствующие параметры на вкладках "Назначение " и " Уведомления " в соответствии с вашим требованием.

   

7. Выберите "Обновить", чтобы завершить настройку утверждающих лиц и активировать роль участника.

Запрос активации соответствующего назначения для выполнения критически важных операций

После того как администратор безопасности создает подходящее назначение, администратор резервного копирования должен активировать назначение на роль Участника для выполнения защищаемых действий.

Чтобы активировать назначение роли, выполните следующие действия.

1. Перейдите в Microsoft Entra Privileged Identity Management. Если Resource Guard находится в другом каталоге, переключитесь в этот каталог, а затем перейдите в microsoft Entra Privileged Identity Management.

2. Перейдите к моим ролям>ресурсам Azure в левой области.

3. Выберите "Активировать ", чтобы активировать соответствующее назначение для роли участника .

   Появится уведомление о том, что запрос отправляется на утверждение.

   

Утверждение запросов активации для выполнения критически важных операций

После того как администратор резервного копирования вызывает запрос на активацию роли участника, администратор безопасности должен проверить и утвердить запрос.

Чтобы проверить и утвердить запрос, выполните следующие действия.

1. В тенанте безопасности перейдите к Microsoft Entra Privileged Identity Management.

2. Перейдите к утверждению запросов.

3. В ресурсах Azure можно просмотреть запрос, ожидающий утверждения.

   Выберите "Утвердить ", чтобы проверить и утвердить подлинный запрос.

После утверждения администратор резервного копирования получает уведомление через электронную почту или другие параметры внутреннего оповещения, что запрос утвержден. Теперь администратор резервного копирования может выполнять защищенные операции за запрошенный период.

Выполнение защищенной операции после утверждения

После того как администратор безопасности утвердит запрос администратора резервного копирования на роль оператора MUA резервного копирования в Resource Guard, они смогут выполнять защищенные операции в связанном хранилище. Если Resource Guard находится в другом каталоге, администратор резервного копирования должен пройти проверку подлинности.

Замечание

Если доступ был назначен с помощью механизма JIT, роль оператора MUA резервного копирования будет отменена в конце утвержденного периода. В противном случае администратор безопасности вручную удаляет роль оператора MUA резервного копирования , назначенную администратору резервного копирования для выполнения критической операции.

На следующем снимке экрана показан пример отключения мягкого удаления для хранилища с поддержкой многопользовательского доступа (MUA).

Отключение MUA на хранилище резервных копий

Отключение muA — это защищенная операция, которая должна выполняться только администратором резервного копирования. Для этого администратор резервного копирования должен иметь необходимую роль оператора MUA резервного копирования в Resource Guard. Чтобы получить это разрешение, администратор бэкапа должен сначала запросить у администратора безопасности роль оператора Backup MUA Operator в защитнике ресурсов, используя процедуру JIT (just-in-time), например Microsoft Entra Privileged Identity Management или внутренние средства.

Затем администратор безопасности утверждает запрос, если он является подлинным, и уведомляет администратора резервного копирования, который теперь имеет роль оператора MUA резервного копирования в "Resource guard". Узнайте больше о том, как получить эту роль.

Чтобы отключить muA, администраторы резервного копирования должны выполнить следующие действия.

1. Перейдите в > хранилище, затем в раздел "Свойства> и выберите Авторизация для нескольких пользователей.

2. Установите флажок "Обновить" и снимите флажок "Защитить с помощью Resource Guard ".

3. Выберите проверку подлинности (если применимо), чтобы выбрать каталог, содержащий Resource Guard, и проверить доступ.

4. Нажмите кнопку "Сохранить", чтобы завершить процесс отключения muA.

   

Дальнейшие шаги

Дополнительные сведения о многопользовательской авторизации с помощью Resource Guard.